Configuração de Redes

Configuração e verificação de switch/roteador, VLANs, trunks, inter-VLAN, roteamento, ACL, NAT e redundância.

Por Fábio Linhares • Instituto Infnet

Contexto de laboratório (assumido): cenário típico com um ou mais switches L2 (VLANs), um roteador (ou switch L3) para roteamento inter-VLAN, e um roteador de borda (ou a mesma caixa) para saída Internet/NAT. Ajuste interfaces, IPs e números de VLAN ao seu diagrama.

Para manter tudo concreto, vou usar um mini–plano de rede que você pode reaproveitar em todas as questões:

VLAN 10 = USERS (192.168.10.0/24)
VLAN 20 = VOICE (192.168.20.0/24)
VLAN 30 = SERVERS (192.168.30.0/24)
VLAN 99 = MGMT/NATIVE (192.168.99.0/24)

Topologia:
• SW1 e SW2 ligados por trunk
• R1 ligado ao SW1 por trunk (router-on-a-stick) para inter-VLAN

Boa prática: prefira configurações explícitas (ex.: trunk/access “hard-coded” e DTP desativado), senhas seguras, SSH (não Telnet), e verificação por evidência (show commands + testes de conectividade).

Quem conseguir resolver, de ponta a ponta, as 20 questões a seguir não terá apenas "decorado comandos". Terá desenvolvido um conjunto de competências operacionais e cognitivas que se aproximam bastante do que se exige de alguém capaz de subir uma rede do zero, segmentar corretamente, habilitar serviços, controlar tráfego, e manter disponibilidade — tudo com disciplina de validação e diagnóstico.

O primeiro desafio que você enfrentará é transformar um conjunto de dispositivos "crus" (switch/roteador saídos de fábrica) em infraestrutura utilizável: identidade, segurança mínima, acesso remoto confiável e gestão por IP. Isso força você a pensar como operador: não basta "funcionar", precisa ser administrável, auditável e previsível.

Em seguida, o terreno fica mais interessante: você vai entrar no núcleo da comutação Ethernet e aprender a enxergar uma rede L2 como ela realmente é. Você vai dominar o comportamento do switch (aprendizado de MAC, flooding, tabelas CAM), entender de verdade a diferença entre colisão e broadcast (e por que isso importa), e aplicar VLANs como ferramenta de segmentação — não como "mágica", mas como engenharia: separar domínios de difusão, reduzir ruído, estruturar a rede por função e preparar o caminho para políticas de segurança.

Depois vem o "pulo do gato" que separa o iniciante do operador: fazer essa segmentação funcionar em múltiplos switches e atravessar links entre equipamentos com trunking 802.1Q, lidando com detalhes que derrubam redes reais (VLAN nativa, allowed VLANs, mismatch e sintomas). Se você completar essa parte, você ganha um tipo raro de habilidade: olhar para um problema e dizer "isso é L2" ou "isso já é L3" com base em evidência, não em palpite.

A etapa seguinte exige mentalidade de roteador: você vai construir uma linha de base de roteamento e entender como o tráfego realmente sai de uma VLAN e chega em outra. Inter-VLAN routing (SVI ou router-on-a-stick) deixa de ser "receita de bolo" e vira uma decisão de design com trade-offs: onde colocar o gateway, como validar caminhos, e como interpretar tabela de rotas e estado de interfaces como se fossem instrumentos de painel.

A partir daí, as questões passam a testar maturidade operacional. Você vai trabalhar com serviços e controles que aparecem em rede de verdade: roteamento entre roteadores, controle inter-segmentos por ACL (com ordem, direção e deny implícito), NAT/port forwarding (com implicações de segurança), e, finalmente, redundância com FHRP (HSRP/VRRP), onde "funciona" não é suficiente — precisa continuar funcionando quando um equipamento falha.

Se você consegue resolver tudo isso, o que você domina de fato?

Você domina fluência operacional em CLI: não só configurar, mas ler show como evidência e usar validações (ping/traceroute/tabelas) para provar que a rede está correta. Você desenvolve raciocínio causal: prever efeitos de uma mudança (por exemplo, o que acontece se eu trocar VLAN nativa, se eu restringir allowed VLANs, se eu aplicar ACL inbound em tal interface). Você ganha disciplina de troubleshooting: isolar variáveis, testar hipóteses mínimas, identificar escopo do problema e convergir sem "tentativa e erro" cega.

Em termos de "skills/qualidades" bem concretas, o leitor que vence esse conjunto passa a ter:

Capacidade de construir e padronizar configurações (baseline seguro e replicável), com noção de risco e boas práticas. Capacidade de segmentar redes com intenção (VLANs como arquitetura, não como etiqueta). Capacidade de operar trunks e ambientes multi-switch sem cair em armadilhas clássicas. Capacidade de implementar L3 funcional (inter-VLAN, roteamento entre roteadores) e validar o caminho fim a fim. Capacidade de aplicar políticas de controle de tráfego com precisão (ACLs e NAT) sem se auto-bloquear. Capacidade de desenhar alta disponibilidade no nível do gateway (FHRP) e testar failover de forma controlada. E, talvez o mais valioso, a capacidade de documentar e justificar: você sabe explicar o porquê das escolhas, quais evidências comprovam o resultado, e como alguém repetiria isso em outro ambiente.

Em outras palavras: adiante você vai enfrentar o tipo de desafio que redes reais colocam no seu caminho — inconsistências sutis, comportamentos emergentes de L2/L3, e a necessidade de provar que está certo. Se você resolver tudo, você não só "passa no conteúdo"; você se torna alguém que consegue pegar uma rede pequena/média, estruturar, segmentar, habilitar serviços, impor políticas e manter disponibilidade com método. Isso é exatamente a fronteira entre "estudou CCNA" e "opera rede de verdade".

📍 Mapa do Caminho: de Baseline a Redundância

ETAPA 01

Baseline e Gestão Segura

Colocar roteador e switch em um estado padronizado e administrável, com segurança mínima.

Hostname, senhas/usuários criptografados
Desabilitar DNS lookup, banner
SSH em vez de Telnet
IP de gerenciamento (SVI)
Gateway de gerenciamento
Salvar config, validar

O equipamento deixa de ser uma "caixa misteriosa" e vira um componente gerenciado.

ETAPA 02

VLAN e Trunking

Dominar a segmentação L2 e transporte de VLANs entre switches.

VLAN: separar domínios de broadcast
Porta access: host em uma VLAN
Trunk 802.1Q: múltiplas VLANs no uplink
VLAN nativa: sem tag no trunk
Verify: show vlan, show interfaces trunk

Você monta uma rede multi-switch onde cada grupo está na sua VLAN, com transporte correto.

ETAPA 03

Inter-VLAN Routing

Fazer o tráfego sair do L2 e ser roteado entre VLANs via Router-on-a-Stick.

Subinterfaces (g0/0.10, g0/0.20…)
Encapsulation dot1Q
IP por VLAN (gateway)
Testar conexão entre VLANs
Validar tabelas de rota

PCs em VLAN 10 falam com servidores em VLAN 30 via roteamento L3, transparentemente.

ETAPA 04

OSPF (Roteamento Dinâmico)

Roteamento automático entre roteadores em vez de criar tudo manually.

Formar vizinhança OSPF
Anunciar redes (network statements)
Ver rotas dinâmicas na tabela
Validar convergência
Passive interfaces, áreas

A rede escala melhor, você entende seleção de caminho e propagação de rotas de forma automática.

ETAPA 05

ACL (Controle de Tráfego)

Controlar tráfego com regras explícitas (permit/deny), aplicada entre VLANs ou na borda.

Direção (in/out), ordem das regras
Deny implícito ao final
Testar para não se auto-bloquear
ACL estendida para L3
Validar com show access-lists

Segmentação vira "permitir apenas o necessário", com política explícita e auditável.

ETAPA 06

NAT e Port Forwarding

Tradução de endereços/portas: permitir saída para internet ou publicar serviço interno.

Marcar interfaces (inside/outside)
PAT para saída da LAN
Port forwarding: publicar serviços
Proteger com ACL
Validar translações (show ip nat trans)

Você entende como tráfego atravessa fronteiras (LAN↔WAN) e impacto no diagnóstico.

ETAPA 07

Redundância (HSRP/VRRP)

Alta disponibilidade no gateway: dois equipamentos compartilham um IP virtual.

IP virtual (HSRP/VRRP)
Ativo e Standby
Failover automático
Tracking de rotas/links
Testar switchover controlado

Você elimina ponto único de falha no gateway, a rede não "morre" em caso de falha.

TRANSVERSAL

Validação e Diagnóstico

O que separa "seguir receita" de "saber operar".

Comandos de verificação (show, ping, traceroute)
Expectativa: o que deve aparecer
Troubleshooting por camadas: L1→L2→L3→serviços
Coletar evidência, formular hipóteses
Testar e corrigir com método

Quando algo quebra, você não fica no misticismo: você coleta evidência, testa e resolve.

EXERCÍCIO 01

Configurar um switch com configurações iniciais

Objetivo: baseline (identidade, senhas, acesso local/remoto, IP de gerenciamento e salvar).

▼

Modelo mental: um switch L2 precisa de (a) identidade e proteção básica, (b) uma SVI para gerenciamento (não para rotear) e (c) gateway padrão para alcançar redes remotas via IP (apenas para o tráfego do próprio switch).

Switch#baseline + mgmt

enable
configure terminal
hostname SW1
no ip domain-lookup

enable secret <SENHA_FORTE>

service password-encryption
banner motd ^C*** ACESSO RESTRITO ***^C

line console 0
 password <SENHA_CONSOLE>
 login
 logging synchronous
 exec-timeout 10 0
exit

! (Opcional) usuário local (útil para SSH)
username admin privilege 15 secret <SENHA_FORTE>

! SVI de gerenciamento (ex.: VLAN 99)
vlan 99
 name MGMT
exit
interface vlan 99
 ip address 192.168.99.2 255.255.255.0
 no shutdown
exit

! Gateway padrão (apenas para o switch alcançar outras redes)
ip default-gateway 192.168.99.1

end
write memory

Verificação (evidência):

show ip interface brief → SVI VLAN 99 “up/up” (dependendo do cenário: precisa existir pelo menos uma porta “up” nessa VLAN).

show vlan brief → VLAN 99 criada e com portas atribuídas conforme diagrama.

ping 192.168.99.1 → alcança o gateway (se roteador/L3 estiver OK).

Se a SVI está “down”, geralmente é porque nenhuma porta daquela VLAN está “up”. Coloque ao menos uma interface access na VLAN 99 e conecte algo ativo.

EXERCÍCIO 02

Configurar e verificar IP em interface de roteador

Objetivo: endereçar interface (IP/máscara), ativar e validar com “show”.

▼

Modelo mental: roteador só participa de uma rede quando a interface tem IP/máscara e está no shutdown. Sem isso, não existe “rede diretamente conectada” naquela interface.

Router#config interface

enable
conf t
interface g0/0
 description LAN / TRUNK / ou Uplink (ajuste ao cenário)
 ip address 192.168.10.1 255.255.255.0
 no shutdown
exit
end
wr

Verificação:

show ip interface brief → interface “up/up”.

show running-config interface g0/0 → IP aplicado.

ping para host na LAN (se houver) ou gateway adjacente.

“administratively down” = faltou no shutdown.

EXERCÍCIO 03

Configurar acesso remoto seguro ao switch via SSH

Objetivo: habilitar SSH (usuário local, chaves, VTY) e validar acesso.

▼

Modelo mental: SSH depende de: domínio + usuário local (ou AAA) + chaves RSA + VTY aceitando SSH. E o switch precisa estar alcançável pelo IP de gerenciamento.

Switch#enable ssh

conf t
hostname SW1
ip domain-name lab.local

username admin privilege 15 secret <SENHA_FORTE>

crypto key generate rsa modulus 2048
ip ssh version 2
ip ssh time-out 60
ip ssh authentication-retries 2

line vty 0 4
 login local
 transport input ssh
 exec-timeout 10 0
 logging synchronous
exit

! (Opcional, recomendável) desabilitar Telnet explícito
no ip http server
end
wr

Verificação (no switch):

show ip ssh → versão 2, timeouts, etc.

show running-config | section line vty → transport input ssh e login local.

show users → sessões ativas.

Teste (no cliente):

ssh admin@192.168.99.2 (use o IP da SVI de gerenciamento).

Se o SSH “não sobe”, as causas mais comuns são: sem ip domain-name, sem usuário local, chaves não geradas, VTY ainda permitindo Telnet, ou IP de gestão inacessível (VLAN/SVI down).

EXERCÍCIO 04

Configurar roteador com configurações iniciais

Objetivo: baseline do roteador (segurança básica, console/VTY, SSH, salvar).

▼

Modelo mental: “baseline” é padronização: identidade, proteção, tempo/timeout, banner e acesso remoto seguro. Isso reduz falhas operacionais e melhora auditoria.

Router#baseline

enable
conf t
hostname R1
no ip domain-lookup

enable secret <SENHA_FORTE>
service password-encryption
banner motd ^C*** ACESSO RESTRITO ***^C

line console 0
 password <SENHA_CONSOLE>
 login
 logging synchronous
 exec-timeout 10 0
exit

ip domain-name lab.local
username admin privilege 15 secret <SENHA_FORTE>
crypto key generate rsa modulus 2048
ip ssh version 2

line vty 0 4
 login local
 transport input ssh
 exec-timeout 10 0
 logging synchronous
exit

end
wr

Verificação:

show ip ssh e show users.

show running-config (seções de linhas e banner).

EXERCÍCIO 05

Verificar redes diretamente conectadas e identificar interfaces

Objetivo: usar tabela de rotas e “show ip int brief” para mapear redes/interfaces.

▼

Modelo mental: redes “diretamente conectadas” aparecem como C (Connected) na tabela de rotas. A interface que “anuncia” aquela rede é a porta onde o IP foi aplicado.

Router#verificação

show ip route
show ip route connected
show ip interface brief
show running-config | section interface

Como determinar “qual interface é qual rede”:

Pegue a rota C 192.168.10.0/24 is directly connected, GigabitEthernet0/0 e confirme o IP na interface com show ip interface brief.

Se houver subinterfaces (ex.: g0/0.10), as redes aparecem conectadas nelas (Router-on-a-Stick).

EXERCÍCIO 06

Configurar rotas estáticas

Objetivo: criar rotas para redes remotas (e default-route quando necessário).

▼

Modelo mental: rota estática = “mapa manual”. Você aponta para o próximo salto (next-hop) ou para a interface de saída. Default-route (0.0.0.0/0) envia o que não é conhecido para um upstream.

Router#static routes

conf t
! Ex.: para rede 192.168.20.0/24 via next-hop 10.0.0.2
ip route 192.168.20.0 255.255.255.0 10.0.0.2

! Default route (ex.: para ISP/upstream)
ip route 0.0.0.0 0.0.0.0 200.1.1.1
end
wr

show ip route static
ping 192.168.20.10
traceroute 192.168.20.10

Se a rota aparece mas o ping falha, verifique “caminho de volta”: o roteador remoto precisa ter rota para retornar (ou default-route correta).

EXERCÍCIO 07

Domínio de colisão vs domínio de difusão (broadcast)

Objetivo: entender escopo de colisões (L1/L2) e broadcast (L2/L3) na prática.

▼

Domínio de colisão: onde colisões podem ocorrer (típico de hubs/half-duplex). Switches modernos segmentam colisão por porta.
Domínio de broadcast: onde um broadcast L2 é inundado (flood). VLAN define o domínio de broadcast (cada VLAN = um domínio).

Regras práticas:

Hub: 1 domínio de colisão + 1 domínio de broadcast (tudo junto).

Switch L2: 1 domínio de colisão por porta; broadcast segue na VLAN inteira.

Roteador/L3: separa domínios de broadcast (não encaminha broadcast L2 entre redes/VLANs).

“VLAN = broadcast domain”. Isso é a base de quase todo o raciocínio de segmentação em campus LAN.

EXERCÍCIO 08

Como VLANs segmentam redes comutadas

Objetivo: aplicar VLAN como segmentação lógica (broadcast separado + política).

▼

VLANs criam “switches lógicos” dentro do mesmo switch físico. Assim, hosts na VLAN 10 não recebem broadcasts da VLAN 20. Para comunicar entre VLANs, precisa de roteamento (router-on-a-stick ou switch L3 com SVIs).

Segmentação por VLAN ajuda em: reduzir ruído de broadcast, separar departamentos (política), aplicar ACL entre segmentos e melhorar troubleshooting.

EXERCÍCIO 09

Como um switch encaminha quadros por VLAN em múltiplos switches

Objetivo: entender trunk 802.1Q, tagging e o papel da VLAN nativa.

▼

Entre switches, usa-se trunk para transportar múltiplas VLANs no mesmo link. O padrão 802.1Q adiciona uma tag ao quadro Ethernet indicando a VLAN. Em portas access, o quadro chega/saí sem tag (o switch “atribui” à VLAN da porta).

Pontos-chave:

Access: pertence a 1 VLAN; quadros sem tag (untagged).

Trunk: carrega várias VLANs; quadros tagged (exceto VLAN nativa).

VLAN nativa: em 802.1Q, normalmente é enviada sem tag no trunk. Boa prática: configurar VLAN nativa dedicada e não usar VLAN 1.

Mismatch de VLAN nativa ou VLANs permitidas no trunk = “misteriosamente” hosts não se enxergam entre switches.

EXERCÍCIO 10

Atribuir porta a uma VLAN específica

Objetivo: configurar porta access e validar associação (VLAN/estado).

▼

Porta access deve ser switchport mode access e switchport access vlan X. Se a VLAN não existir, crie antes.

Switch#access port

conf t
vlan 10
 name USERS
exit

interface f0/1
 description PC-USER
 switchport mode access
 switchport access vlan 10
 spanning-tree portfast
 spanning-tree bpduguard enable
 no shutdown
exit
end
wr

show vlan brief
show interfaces f0/1 switchport

Se for porta de usuário final, considere portfast e bpduguard para reduzir risco de loops acidentais.

EXERCÍCIO 11

Configurar trunk para múltiplas VLANs

Objetivo: trunk 802.1Q, allowed VLANs, native VLAN e validação com “show”.

▼

Trunk conecta switch↔switch (ou switch↔roteador). Defina trunk explicitamente e restrinja VLANs permitidas para reduzir superfície e erros.

Switch#trunk

conf t
interface g0/1
 description Uplink-to-SW2 (ou to-Router)
 switchport mode trunk
 switchport trunk native vlan 99
 switchport trunk allowed vlan 10,20,99
 switchport nonegotiate
 no shutdown
exit
end
wr

show interfaces trunk
show interfaces g0/1 switchport

Checklist de “trunk não funciona”: (1) ambos lados em trunk, (2) VLANs allowed batendo, (3) VLAN nativa batendo, (4) link up/up, (5) DTP causando negociação inesperada.

EXERCÍCIO 12

Configurar DTP (negociar access vs trunk) e boas práticas

Objetivo: entender modos “dynamic” e quando desativar negociação.

▼

DTP (Dynamic Trunking Protocol) negocia trunks automaticamente (Cisco). Em ambientes modernos, é comum desativar negociação e configurar trunk/access explicitamente.

Modos típicos:

switchport mode dynamic desirable → tenta formar trunk ativamente.

switchport mode dynamic auto → aceita trunk se o outro lado pedir.

Boa prática: switchport mode trunk + switchport nonegotiate (ou access fixo).

Switch#disable negotiation

conf t
interface g0/1
 switchport mode trunk
 switchport nonegotiate
exit

interface f0/10
 switchport mode access
 switchport access vlan 10
 ! (em access, DTP não deve negociar trunk)
exit
end
wr

show dtp interface g0/1
show interfaces trunk

Trunks “acidentais” por DTP são um risco e um gerador clássico de incidentes.

EXERCÍCIO 13

Configurar e verificar VLANs (criar, excluir, modificar)

Objetivo: gerenciar VLAN database e validar em “show vlan brief”.

▼

Switch#vlan lifecycle

conf t
vlan 10
 name USERS
exit
vlan 20
 name SERVERS
exit
vlan 99
 name MGMT
exit

show vlan brief

! Modificar nome:
conf t
vlan 20
 name APP-SERVERS
exit
end

! Excluir VLAN (cuidado: remove associação de portas):
conf t
no vlan 20
end

show vlan brief

Se você apagar uma VLAN, portas que estavam nela podem cair em VLAN 1 (ou ficar sem associação útil, dependendo do equipamento). Documente antes de remover.

EXERCÍCIO 14

Portas para dados, voz e VLAN nativa

Objetivo: configurar voice VLAN em access e padronizar native VLAN em trunks.

▼

Em porta de telefone IP + PC: a porta do switch fica access para “dados” e também anuncia uma voice VLAN. O telefone marca voz e o switch isola voz da VLAN de dados.

Switch#data + voice

conf t
vlan 10
 name DATA
exit
vlan 30
 name VOICE
exit

interface f0/5
 description IP-Phone + PC
 switchport mode access
 switchport access vlan 10
 switchport voice vlan 30
 spanning-tree portfast
 spanning-tree bpduguard enable
exit

! Em trunk: defina VLAN nativa dedicada (ex.: MGMT ou NATIVE separada)
interface g0/1
 switchport mode trunk
 switchport trunk native vlan 99
 switchport trunk allowed vlan 10,30,99
 switchport nonegotiate
exit
end
wr

show interfaces f0/5 switchport
show interfaces trunk

Evite usar VLAN 1 como nativa/gerenciamento. Padronize uma VLAN nativa dedicada e mantenha “allowed VLANs” restrito.

EXERCÍCIO 15

Configurar e verificar roteamento inter-VLAN

Objetivo: permitir comunicação entre VLANs via Router-on-a-Stick ou SVIs (L3).

▼

Modelo mental: VLANs não roteiam entre si em L2. Inter-VLAN exige L3: (A) Router-on-a-Stick (subinterfaces dot1q) ou (B) Switch L3 (SVIs e ip routing).

Router#Router-on-a-Stick

conf t
interface g0/0
 no shutdown
exit

interface g0/0.10
 description VLAN10-DATA
 encapsulation dot1Q 10
 ip address 192.168.10.1 255.255.255.0
exit

interface g0/0.20
 description VLAN20-SERVERS
 encapsulation dot1Q 20
 ip address 192.168.20.1 255.255.255.0
exit

interface g0/0.99
 description VLAN99-MGMT (native opcional)
 encapsulation dot1Q 99 native
 ip address 192.168.99.1 255.255.255.0
exit

end
wr

show ip interface brief
show ip route connected

Verificação:

No switch (porta para o roteador): precisa ser trunk e permitir VLANs 10/20/99.

Nos hosts: gateway padrão deve ser o IP da VLAN (ex.: 192.168.10.1).

Teste: ping entre um host da VLAN10 para host da VLAN20; e ping para o gateway.

Se “inter-VLAN” falha: normalmente é (1) trunk errado, (2) VLAN não permitida, (3) encapsulation dot1q errado, (4) gateways errados nos hosts.

EXERCÍCIO 16

Configurar e verificar protocolo de roteamento (entre roteadores via switches)

Objetivo: habilitar roteamento dinâmico (ex.: OSPF) e validar adjacência/rotas.

▼

Roteamento dinâmico (ex.: OSPF) automatiza distribuição de rotas entre roteadores. Entre roteadores conectados via switch, o switch só comuta — a adjacência OSPF é entre os roteadores.

Router#OSPF (exemplo)

conf t
router ospf 1
 router-id 1.1.1.1
 network 10.0.0.0 0.0.0.255 area 0
 network 192.168.10.0 0.0.0.255 area 0
 network 192.168.20.0 0.0.0.255 area 0
 passive-interface default
 no passive-interface g0/1     ! link entre roteadores (ajuste)
end
wr

show ip ospf neighbor
show ip route ospf
show ip protocols

Se não forma vizinhança OSPF: verifique área, máscara/wildcard, MTU, autenticação, e se a interface não está “passive”.

EXERCÍCIO 17

Configurar e verificar roteamento inter-VLAN (cenário completo)

Objetivo: fechar o “ciclo” (VLANs + trunk + gateway + testes ponta-a-ponta).

▼

Consolide a solução: VLANs no switch, portas access corretas, trunk para o roteador/L3, interfaces L3 (subinterfaces/SVIs) com IPs e hosts com gateway.

Checklist ponta-a-ponta:

Switch: VLANs criadas + portas access atribuídas + trunk permitido + native consistente.

Roteador/L3: subinterfaces/SVIs com IPs + interfaces up/up + rotas conectadas presentes.

Hosts: IP/máscara corretos + gateway = IP da VLAN.

Teste: ping host→gateway, ping VLAN10→VLAN20, traceroute para observar salto no L3.

Sempre valide em camadas: L1 (link), L2 (VLAN/trunk/MAC), L3 (IP/rotas), e só então serviços.

EXERCÍCIO 18

Configurar e verificar ACLs para controlar tráfego entre VLANs

Objetivo: aplicar política L3 (permit/deny) e posicionar ACL no lugar certo.

▼

Modelo mental: ACL filtra tráfego L3. Em inter-VLAN, aplique na interface/subinterface/SVI por onde o tráfego passa. Regra clássica: ACL estendida perto da fonte (quando faz sentido).

Router#ACL (exemplo)

conf t
ip access-list extended VLAN10_TO_VLAN20
 remark Permitir somente HTTP/HTTPS de VLAN10 para servidor 192.168.20.10
 permit tcp 192.168.10.0 0.0.0.255 host 192.168.20.10 eq 80
 permit tcp 192.168.10.0 0.0.0.255 host 192.168.20.10 eq 443
 remark Bloquear o resto para VLAN20
 deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
 remark Permitir demais destinos (ex.: Internet)
 permit ip 192.168.10.0 0.0.0.255 any
exit

! Aplicar (exemplo: na subinterface da VLAN10, sentido IN)
interface g0/0.10
 ip access-group VLAN10_TO_VLAN20 in
exit

end
wr

show access-lists
show ip interface g0/0.10

Se “nada funciona” após ACL: faltou um permit ip ... any no final (ou você aplicou no sentido/interface errados).

EXERCÍCIO 19

Port forwarding para serviço interno (NAT estático com porta)

Objetivo: publicar serviço interno (ex.: HTTP/SSH) com NAT e validar de fora.

▼

Modelo mental: Port forwarding é NAT com tradução de porta: tráfego que chega no IP público/porta X é redirecionado para IP interno/porta Y.

Edge-Router#NAT port-forward

conf t
! Defina inside/outside
interface g0/0
 description LAN (inside)
 ip nat inside
exit
interface g0/1
 description WAN (outside)
 ip nat outside
exit

! Publicar HTTP externo (203.0.113.10:80) para servidor interno 192.168.20.10:80
ip nat inside source static tcp 192.168.20.10 80 203.0.113.10 80

! Exemplo alternativo: publicar SSH externo 2222 -> interno 22
ip nat inside source static tcp 192.168.20.10 22 203.0.113.10 2222

end
wr

show ip nat translations
show ip nat statistics

Teste:

De fora da rede: acessar http://203.0.113.10 e/ou ssh -p 2222 user@203.0.113.10.

Se falhar: verifique ACL no outside, rota de retorno e se o serviço interno está realmente “ouvindo”.

Publicar serviços expõe superfície de ataque. Use ACL/Firewall, senhas fortes e, se possível, VPN ao invés de expor SSH.

EXERCÍCIO 20

Redundância de gateway (HSRP/VRRP)

Objetivo: criar gateway virtual para alta disponibilidade e testar failover.

▼

Modelo mental: hosts usam um IP virtual como gateway. Dois roteadores compartilham esse IP via protocolo de redundância (HSRP/VRRP). Um fica ativo, outro standby; em falha, o standby assume sem mudar configuração nos hosts.

R1#HSRP (exemplo VLAN10)

! R1 (ativo preferencial)
conf t
interface g0/0.10
 ip address 192.168.10.2 255.255.255.0
 standby 10 ip 192.168.10.1
 standby 10 priority 110
 standby 10 preempt
exit
end
wr

show standby brief

R2#HSRP (exemplo VLAN10)

! R2 (standby)
conf t
interface g0/0.10
 ip address 192.168.10.3 255.255.255.0
 standby 10 ip 192.168.10.1
 standby 10 priority 100
 standby 10 preempt
exit
end
wr

show standby brief

Teste de failover:

Configure os hosts com gateway = 192.168.10.1 (IP virtual).

Derrube a interface do roteador ativo (ou desligue o equipamento) e observe: show standby brief no outro roteador muda para “Active”.

Monitore perda de pacotes (poucos pings podem falhar no “switchover”).

Combine com tracking (ex.: “track” da rota/wan) para o ativo perder prioridade quando o link externo cair — evitando “ativo sem saída”.